文章目录
前言
文件指出,持续授权指标可深入了解持续授权流程在维护通过软件工厂的应用程序的安全性、质量和完整性方面的有效性,具体包括:网络卫生指标;与护栏和控制门结果相关的趋势指标;反馈沟通频率指标;与缓解措施持续有效性相关的指标;安全态势仪表板指标;容器指标;测试指标。文件还提供了实现cATO的组织和软件工厂的实用建议,包括:通过相关选项构建DevSecOps平台;在商业云上运行DevSecOps平台;给团队带来初始安全感并使其全程参与;创建安全敏捷流程以支持价值的持续交付;必须在所有环境中实施持续监控,包括开发、测试和生产;主动网络防御必须到位,包括本地安全运营中心(SOC)和外部网络安全服务提供机构(CSSP);保护软件供应链。
四、评估方法
cATO的评估过程涉及通过审查实践使用证据、与执行实践的人员面谈以确定组织理解和实施的水平以及审查持续监控活动的结果,来了解组织在软件工厂中的风险管理实践。评估团队使用该信息来根据评估团队制定的评估标准来确定组织管理风险的准备情况。这些标准应基于《DevSecOps持续授权操作评估标准》。
这种评估方法是一个根本性的转变,从对组织安全控制合规性的时间点评估转向对组织在整个应用程序生命周期(从开发到持续集成、交付和部署下的运营)中管理风险的持续准备情况的定期评估。
(一)cATO评估方法
确定执行过程评估的团队。评估DevSecOps平台、流程和人员所需的技能会有所不同,而授权官员将批准评估团队及作为授权流程的一部分的其能力。
对团队进行cATO评估流程的教育和培训。制定评估计划并确定关键实践以及评估和权重标准。详细的cATO评估标准可以在《DevSecOps持续授权操作评估标准》中的知识服务(KS)上找到
高水平评估标准:
1、实践被定义并记录。
2、存在使用风险管理和持续监控实践的证据。这些证据包括展示。
3、员工熟悉cATO实践。
4、cATO实践的实施水平按照附录表2中关于cATO要求目的和目标的定义进行衡量。
与负责的cATO办公室协调评估;确保组织了解要评估的关键实践、评估过程和评估标准。
与授权官员一起审查评估计划,以确保包括关键实践和关注点。
收集并审查组织的实践文件和证据。例如,可以通过各种类型的跟踪系统、会议记录和管道安全扫描报告来提供证据。
确定并安排与代表关键角色且了解 cATO DevSecOps实践的组织人员的访谈
根据评估和权重标准评估 DevSecOps平台、流程和团队。可以针对关键领域(例如软件工厂、流程和团队)建立权重,具体到附录表2中确定的实际实践。
制定评估结果、建议,并与负责cATO的组织办公室一起审查它们。
使用授权官员cATO 决策简报,提供最终的组织准备风险确定和建议,供授权官员考虑,包括授权的所有条件。
cATO备忘录评估交叉
本节将评估软件工厂、流程和人员的评估方法与前面在cATO能力部分讨论的cATO备忘录能力联系起来:
持续监测(CONMON)
主动网络防御(ACD)
将经过批准的DevSecOps参考设计用于具有安全软件供应链(SSSC)的软件工厂。
这些能力是在cATO评估过程中产生共鸣的主题,如表1所示。例如,对于持续监测(CONMON),软件工厂必须具有自动化功能来生成、分析和显示机器证据;此外,必须有良好的使用流程(例如事件响